Perché i siti Web e i dispositivi non offrono accessi falsi per gli hacker?

62

Ci stavo pensando stamattina stamattina e mi chiedevo perché siti web e dispositivi non offrano login falsi per gli hacker? Ciò che intendo è che se un hacker scopre alcuni dei tuoi dettagli e cerca di accedere a un sito Web (ad esempio) il sito web mostrerà che hai eseguito correttamente l'accesso ma mostrerà dati fittizi completamente falsi.

In questo modo l'hacker non saprà se ha i dettagli di accesso corretti o meno. Proteggerà inoltre le persone in una situazione di sicurezza. Ad esempio, immagina che un criminale abbia rubato qualcuno e capisca che non può accedervi. Poi punta una pistola contro il proprietario che poi digita una parte dei dettagli corretti, ma alcuni di essi non sono corretti. Il dispositivo si sblocca in modalità falsa e il criminale pensa di avere accesso e decide di non sparare alla persona perché ha rispettato i propri desideri. Ma il criminale non sa mai che quello che vedono è solo un falso login.

Qualcuno ha implementato qualcosa di simile? Mi sembra una buona idea.

    
posta Cromulent 01.06.2018 - 14:49
fonte

11 risposte

66

That way the hacker won't know if they have got the login details correct or not.

Se le informazioni presentate dopo l'accesso non hanno alcuna relazione con la persona a cui dovrebbe essere il login, allora la maggior parte degli hacker riconoscerà rapidamente che il login non è probabilmente quello reale.

Tuttavia, al fine di mostrare informazioni che sembrano adeguate all'utente, potrebbe essere necessario un notevole sforzo. Inoltre, deve essere creato appositamente per ciascun utente e mostrare alcune informazioni veritiere sull'utente in modo che non sembri falso ma non troppo, quindi non vengono trapelate informazioni importanti.

Non puoi aspettarti che il tuo provider lo faccia per te ma potresti tentare di farlo tu stesso in molti casi, ad esempio aggiungi un altro account e-mail, un altro account Facebook, ecc.

    
risposta data 01.06.2018 - 14:58
fonte
50

Il concetto che stai descrivendo si chiama Affidabilità plausibile e metodi per fornirlo effettivamente è stato implementato in alcuni software, VeraCrypt come esempio.

Un problema con l'implementazione nei siti web, come suggerisce, è che per lo sviluppatore del sito è molto difficile trovare dati falsi che siano abbastanza realistici da ingannare un utente malintenzionato senza fornire dati sensibili sull'utente. Nel software di crittografia come VeraCrypt, tale compito viene spostato all'utente, che è ovviamente in una posizione molto migliore per farlo.

    
risposta data 01.06.2018 - 14:58
fonte
31

Perché gli hacker non attaccano i moduli di accesso

La falla è che si presume che gli hacker entrino negli account con le credenziali brute-forcing contro i servizi remoti. Ma è comunque inutile.

Qualsiasi sito web con una sicurezza decente (quelli senza di sicurezza decente non si preoccuperebbero della tua idea) avrà un limite imposto su quanti tentativi di accesso falliti possono essere fatti in un certo periodo di tempo per IP indirizzo, di solito qualcosa come 5 tentativi falliti ogni 6 ore. Se la sicurezza è un po 'più strong, gli account potrebbero anche aver bisogno di un'azione da parte del proprietario dopo un numero di tentativi falliti, e / o il proprietario potrebbe essere informato dei tentativi di accesso falliti o anche di tutti gli accessi dai nuovi dispositivi.

Quindi, mentre gli attacchi di forza bruta potrebbero essere fattibili contro dati semplici (come gli hash delle password esposti in una violazione), non sono neanche lontanamente fattibili contro qualsiasi servizio con un minimo di sicurezza.

Per gli aggressori, è quindi molto più facile andare in phishing, o meglio ancora, creare autonomamente un vero servizio gratuito e lavorare sul presupposto del riutilizzo della password:

    
risposta data 02.06.2018 - 06:07
fonte
14

Non ho mai sentito parlare di alcun servizio o dispositivo che implementa questo.

Il caso in cui un utente malintenzionato è presente e che ti costringe a effettuare il login è piuttosto improbabile. È più probabile che prendano il tuo iPhone da 1000 $ e scappino.

Tuttavia, è molto plausibile che ciò accada se l '"attaccante" è un addetto alla sicurezza / ufficiale della TSA presso un checkpoint di sicurezza aeroportuale. Specialmente se ti trovi in un paese straniero. (C'è stato un argomento Defcon su questo argomento alcuni anni fa.)

sito web

Probabilmente non avrebbe molto senso implementarlo su un sito web. Se tu (l'amministratore) sei certo che qualcuno che sta tentando di accedere a un account è un hacker, basta bloccarli / bloccare l'account. Problema risolto.

Se l'utente malintenzionato tenta di accedere a più account, probabilmente saprà che qualcosa non funziona se sono in grado di accedere "correttamente" a più account al primo o al secondo tentativo.

Telefoni

Sebbene i telefoni non consentano accessi falsi (?), ma è possibile impostarli per il blocco dopo che la password non è stata immessa correttamente n volte.

Attacker/TSA agent tells you to unlock phone. You intentionally enter wrong password on 1st try.

"Oh, oops, wrong password..."

You enter the wrong password again on the 2nd try.

"Sorry, my hands get sweaty when I am nervous..."

You enter wrong password on 3rd try. Phone is now locked for 30 minutes!

Questo ovviamente non funzionerà se stai recitando la password per l'aggressore, e lo stanno inserendo nel telefono. E penso che la maggior parte dei blocchi del telefono durino solo 30 minuti (?), Durante i quali l'aggressore / agente TSA farà del suo meglio per "convincere" a ricordare la password in una stanza sul retro.

Laptop

Il tuo suggerimento sarebbe relativamente facile da implementare su un laptop ...

Crea 2 o più profili utente.

Il primo profilo che ti chiami (nome e cognome). Imposta una tua foto come immagine del profilo. Questo sarà il tuo account "falso". Imposta la password come qualcosa di semplice e facile da ricordare. Inserisci alcune "cose personali" nell'account (musica, foto del tuo animale domestico, documenti "di lavoro", ecc.)

Il secondo account da un nome generico a un familiare ("hubby", "i bambini", "miele", ecc.). Mantieni l'immagine profilo predefinita. Imposta una password complessa. Questo sarà l'account con i privilegi di amministratore sul laptop e l'account che utilizzerai per il tuo lavoro importante / confidenziale.

Ora immagina uno scenario in cui sei costretto ad accedere ...

You are in an airport in Oceania, about to fly home to Eurasia. Airport security stop you on your way through the terminal.

Security: "Give us your passport and laptop!"

You hand them the laptop and passport. They turn on laptop, and try to login to the account which you named after yourself. Upon seeing they need a password, they demand you tell them the password.

You: "The password is opensea. No spaces."

The airport security enter the password, and successfully enter your fake account.

After looking around for a few minutes and not finding anything that interests them, they log out and try to login to your real account.

Security: "Whose account is this? What is the password?"

You: "That is my kids' account. The password is 123dogs."

They enter the password, but are unable to login.

Security: "That password is wrong! Tell us the correct password!"

You act surprised, and ask them to give you the laptop so you can attempt to login. They hand you the laptop, and you start typing in bogus passwords.

You: "Those darn kids, I told them NOT to change the password! I'm sorry, they were only supposed to use that account for their stupid video games!"

The airport security confer with each other, and then let you go on your way. You safely return to Eurasia without having the confidential information on your laptop compromised.

    
risposta data 01.06.2018 - 23:45
fonte
13

Non è esattamente il contesto che avevi in mente, ma ci sono in realtà dei sistemi che hanno implementato questa idea. Lavoravo in una struttura (un po 'sensibile) in cui ogni dipendente aveva due codici per disabilitare il sistema di allarme: quello normale e un codice di coercizione. Se hai usato il codice coercizione, il sistema sarebbe stato disabilitato in modo da non metterti in pericolo, ma un allarme silenzioso si sarebbe spento nel centro di monitoraggio. Sto leggendo su Wikipedia che questo è stato preso in considerazione anche per gli sportelli bancomat negli Stati Uniti ma alla fine è stato escluso.

Un altro concetto simile è " honeypot ". Alcuni di essi potrebbero infatti accettare credenziali o offrire dati fittizi quando vengono attaccati, per poter registrare ciò che un attaccante esegue successivamente o sfruttare in altro modo la situazione (ad esempio, acquisire il carico utile di un worm).

Riguardo al motivo per cui non è più comune nei prodotti di consumo, nei servizi online, ecc. c'è semplicemente un compromesso tra i benefici (quanto è probabile un attacco particolare, se possa effettivamente scoraggiare i criminali o semplicemente indurli a modificare leggermente la loro tecnica) e i costi (sistemi più complessi da sviluppare, mantenere e certificare), il che significa anche maggiore superficie di attacco che potrebbe consentire a un utente malintenzionato con un effettivo punto di ingresso, larghezza di banda e costi operativi di servire i dati fittizi a tutte le botnet che attaccano costantemente i servizi online , sforzo per creare dati fittizi credibili per ingannare attacchi più sofisticati).

    
risposta data 02.06.2018 - 11:20
fonte
5

Questo è chiamato "Tecnologia dell'inganno" nel mondo cibernetico in cui la soluzione inganna i cyber nemici (attaccanti) con gli espedienti chiavi in mano (trappole) che "imitano" le tue vere risorse. Centinaia o migliaia di trap possono essere implementate con poco sforzo, creando un campo minato virtuale per gli attacchi informatici, avvisandoti immediatamente di qualsiasi attività dannosa con intelligenza attuabile. Le trappole contengono i dettagli di accesso, i dati fittizi, il sistema fittizio, ecc. Per ingannare l'attaccante intimando come il sistema reale.

La tecnologia dell'inganno è una categoria emergente di difesa della sicurezza informatica. I prodotti tecnologici di inganno possono rilevare, analizzare e difendere da zero-day  (dove il tipo / procedura di attacco non è noto prima) e attacchi avanzati, spesso in tempo reale. Sono automatizzati, accurati e forniscono informazioni su attività dannose all'interno di reti interne che potrebbero non essere visibili da altri tipi di difesa informatica. La tecnologia di inganno consente una postura di sicurezza più proattiva cercando di ingannare gli attaccanti, rilevarli e poi sconfiggerli, consentendo all'azienda di tornare alle normali operazioni.

È possibile fare riferimento al seguente link per alcuni fornitori di soluzioni: link

    
risposta data 03.06.2018 - 18:32
fonte
2

Questo è stato fatto in passato, piuttosto con successo, ma dipende molto da cosa sia il sistema.

A un certo punto non era raro che i siti web con accesso a pagamento rilevassero automaticamente quando un account si collegava da troppi indirizzi IP o con altri pattern sospetti e reindirizzava quegli utenti a una versione del sito che era principalmente annunci e collegamenti di affiliazione ad altri siti. Se fatto bene, la condivisione delle credenziali di accesso rubate potrebbe diventare un centro di entrate.

Esistono anche siti Web che indirizzano gli utenti a versioni diverse in base all'indirizzo IP o ad altri criteri; la versione più semplice di questo è la pubblicità mirata.

Per l'accesso alla shell è possibile indirizzare un login a una prigione con chroot che ha solo una piccola sezione di disco e binari appositamente predisposti, che potrebbero non essere necessariamente uguali al sistema generale.

    
risposta data 02.06.2018 - 07:33
fonte
2

Prima di tutto, non chiamerei l'attaccante in questo scenario un hacker. Un hacker sta cercando di aggirare la sicurezza offerta dal sito web, nel tuo scenario l'attaccante non si cura della sicurezza dei tuoi servizi, a lui importa quanto facilmente l'utente è intimidito e possibilmente cosa fare con il corpo in seguito.

In secondo luogo, le credenziali alternative che cambiano il tuo accesso sono state fatte, ma se fa più che presentare una visione ristretta della verità, è molto lavoro e di utilità limitata.

La ragione per cui è di utilità limitata, è perché i tuoi utenti ne sono a conoscenza, devi presumere che anche qualsiasi hacker lo sappia. Supponiamo di averlo fatto per una carta bancomat in modo da mostrare un saldo inferiore a cento dollari per limitare la perdita. O l'attaccante chiede entrambi (nel qual caso la vittima ha al massimo una probabilità del 50% di non perdere di più) o semplicemente include come parte delle sue richieste che produce più di questo - "se non ne ottengo almeno 200 sei morto ".

Non è totalmente inutile, ma è efficace solo contro un attaccante ignorante. Affidarsi all'attaccante non sapendo qualcosa si chiama sicurezza attraverso l'oscurità, alias "hanno capito".

    
risposta data 02.06.2018 - 14:16
fonte
1

Per il web e un attacco remoto, come molti hanno affermato prima, a parte la difficoltà di creare contenuti di utenti fasulli, c'è il problema di: come fai a sapere che si tratta di un accesso compromesso?

Voglio dire, se pensi che ci sia qualche tipo di attività sospetta, come un attacco a forza bruta, puoi semplicemente bloccare l'accesso per quell'IP e forse per quell'account stesso per un po '( fino a quando il vero proprietario in qualche modo convalida la sua identità)

Gli unici casi utili sono accessi forzati , questa è un'altra storia e un'idea carina di cleaver. Ecco l'implementazione che immagino per un social network:

  1. L'utente crea se stesso un account con dati fittizi e lo imposta come suo account fittizio.
  2. Quando si verifica un accesso forzato, come se tu fossi jf o bf che ti estorcono il login, allora inserisci la password fittizia e non c'è! hai effettuato l'accesso al tuo bellissimo account fittizio creato da te.

MA Non è una soluzione perfetta neanche. Probabilmente l'hacker ti conoscerà e, se è il tuo ex pazzo, potrebbe semplicemente controllare il suo chatlog con te e sapere che hai appena effettuato l'accesso all'account fasullo.

Questo è particolarmente pertinente perché sarà una funzione ben nota al pubblico della piattaforma che sei, quindi chiunque ti spinga sarebbe in grado di controllare se sei o no.

Per le banche o altri siti, è una buona idea.

    
risposta data 02.06.2018 - 21:10
fonte
-1

Il problema è che i tuoi utenti devono saperlo, quindi devi presumere che anche qualsiasi hacker lo sappia.

    
risposta data 02.06.2018 - 14:53
fonte
-2

Per me, sembra che tu stia invitando l'attaccante a danzare con te.

"Ehi attaccante, vuoi hackerare il mio sito Web. Ecco un sito web di accesso falso per te!"

Certamente non vuoi invitare l'attaccante a ballare con te perché potrebbe trovarlo divertente e stimolante che gli darebbe ancora più motivazione per tentare di hackerare il tuo sito web.

    
risposta data 04.06.2018 - 17:22
fonte

Leggi altre domande sui tag